คุณกําลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X info
ลูกค้าต้องดำเนินการและดำเนินกระบวนการบางอย่างภายใต้ "รูปแบบความรับผิดชอบร่วม" เพื่อให้เป็นไปตามข้อกำหนด PCI ใน Apigee Edge Public Cloud ลูกค้าซึ่งซื้อชุดการปฏิบัติตามข้อกำหนด PCI และต้องปฏิบัติตามข้อกำหนด PCI ควรตรวจสอบรายการต่อไปนี้ รายการเหล่านี้เป็นแบบบริการตนเองภายใน Edge และต้องได้รับการแก้ไขเพื่อให้องค์กรของลูกค้า (org) เป็นไปตามข้อกำหนด PCI แนวคิดหลักคือ "Google รักษาความปลอดภัยให้แพลตฟอร์ม ส่วนลูกค้ารักษาความปลอดภัยให้ข้อมูลของตน"
เมทริกซ์ความรับผิดชอบของลูกค้า
ลูกค้าควรอ่าน ตารางความรับผิดชอบที่แชร์ของ PCI DSS v4.0.1 สำหรับ Google Cloud Platform และแชร์กับ Qualified Security Assessor ของ PCI เมื่อทำการตรวจสอบ PCI ด้วยตนเอง
การแมปข้อกำหนด PCI
| ข้อกำหนด PCI | Section |
|---|---|
| ข้อกำหนดที่ 7: จำกัดการเข้าถึงคอมโพเนนต์ของระบบและข้อมูลผู้ถือบัตรตาม Need to Know ทางธุรกิจ | |
| ข้อกําหนดข้อ 3: ปกป้องข้อมูลบัญชีที่จัดเก็บ | |
| ข้อกำหนดที่ 10: บันทึกและตรวจสอบการเข้าถึงคอมโพเนนต์ของระบบและข้อมูลผู้ถือบัตรทั้งหมด | |
| ข้อกําหนด 8: ระบุผู้ใช้และตรวจสอบสิทธิ์การเข้าถึงคอมโพเนนต์ของระบบ | |
| ข้อกำหนดที่ 11: ทดสอบความปลอดภัยของระบบและเครือข่ายเป็นประจำ | |
| ข้อกําหนด 4: ปกป้องข้อมูลผู้ถือบัตรด้วยวิทยาการเข้ารหัสลับที่รัดกุมในระหว่างการส่งผ่านผ่านเครือข่ายสาธารณะแบบเปิด | |
| ข้อกำหนดที่ 3: ปกป้องข้อมูลบัญชีที่จัดเก็บไว้ | |
| ข้อกําหนด 4: ปกป้องข้อมูลผู้ถือบัตรด้วยวิทยาการเข้ารหัสลับที่รัดกุมในระหว่างการส่งผ่านผ่านเครือข่ายสาธารณะแบบเปิด |
หากต้องการรับเอกสารรับรองการปฏิบัติตามข้อกำหนดมาตรฐานความปลอดภัยข้อมูล PCI (AOC) ให้เปิดคำขอแจ้งปัญหากับทีมสนับสนุนของ Apigee หรือติดต่อทีมขายของ Apigee
ติดตาม / แก้ไขข้อบกพร่อง
การติดตาม/แก้ไขข้อบกพร่องเป็นเครื่องมือแก้ปัญหาที่ช่วยให้ผู้ใช้ดูสถานะและเนื้อหาของคําเรียก API ได้ขณะประมวลผลผ่านโปรแกรมประมวลผลข้อความ Apigee การติดตามและการแก้ไขข้อบกพร่องเป็นชื่อ 2 ชื่อของบริการเดียวกัน แต่เข้าถึงผ่านกลไกที่แตกต่างกัน Trace คือชื่อของบริการนี้ใน UI ของ Edge Debug คือชื่อของบริการเดียวกันเมื่อใช้ผ่านการเรียก API การใช้คําว่า "การติดตาม" ในเอกสารนี้ใช้ได้กับทั้งการติดตามและการแก้ไขข้อบกพร่อง
ในระหว่างเซสชันการติดตาม ระบบจะบังคับใช้ "การมาสก์ข้อมูล" เครื่องมือนี้สามารถบล็อกไม่ให้ข้อมูลแสดงระหว่างการติดตาม โปรดดูส่วนการมาสก์ข้อมูลด้านล่าง
ระบบอาจใช้แผนที่คีย์-ค่า (KVM) ที่เข้ารหัสสำหรับลูกค้า PCI หากมีการใช้ KVM ที่เข้ารหัสอยู่ คุณอาจยังใช้การติดตามได้ แต่ตัวแปรบางรายการจะไม่แสดงในหน้าจอแสดงการติดตาม คุณสามารถทำตามขั้นตอนเพิ่มเติมเพื่อแสดงตัวแปรเหล่านี้ระหว่างการติดตามได้ด้วย
ดูวิธีการใช้การติดตามโดยละเอียดได้ที่การใช้เครื่องมือติดตาม
ดูรายละเอียดเกี่ยวกับ KVM รวมถึง KVM ที่เข้ารหัสได้ที่การทํางานกับแผนที่คีย์-ค่า
การใช้งาน/การให้สิทธิ์
การเข้าถึงการติดตามจะจัดการผ่านระบบ RBAC (การควบคุมการเข้าถึงตามบทบาท) สําหรับบัญชีผู้ใช้ภายใน Edge โปรดดูวิธีการโดยละเอียดในการใช้ระบบ RBAC เพื่อมอบและเพิกถอนสิทธิ์การติดตามที่หัวข้อการมอบหมายบทบาทและการสร้างบทบาทที่กำหนดเองใน UI สิทธิ์การติดตามช่วยให้ผู้ใช้สามารถเปิดการติดตาม หยุดการติดตาม และเข้าถึงเอาต์พุตจากเซสชันการติดตามได้
เนื่องจากการติดตามมีสิทธิ์เข้าถึงเพย์โหลดของการเรียก API (เรียกอย่างเป็นทางการว่า "เนื้อหาข้อความ") คุณจึงควรพิจารณาว่าใครมีสิทธิ์เรียกใช้การติดตาม เนื่องจากการจัดการผู้ใช้เป็นความรับผิดชอบของลูกค้า การให้สิทธิ์การติดตามจึงเป็นความรับผิดชอบของลูกค้าด้วย Apigee ในฐานะเจ้าของแพลตฟอร์มสามารถเพิ่มผู้ใช้ไปยังองค์กรของลูกค้าและมอบหมายสิทธิ์ได้ ความสามารถนี้จะใช้ได้เฉพาะเมื่อลูกค้าขอรับการสนับสนุนในสถานการณ์ที่ดูเหมือนว่าฝ่ายบริการลูกค้าจะดำเนินการไม่สำเร็จ และเชื่อว่าการตรวจสอบเซสชันการติดตามจะให้ข้อมูลที่ดีที่สุดเกี่ยวกับสาเหตุของปัญหา
การมาสก์ข้อมูล
การมาสก์ข้อมูลจะป้องกันการแสดงข้อมูลที่ละเอียดอ่อนระหว่างเซสชันการติดตาม/แก้ไขข้อบกพร่องเท่านั้น ทั้งในการติดตาม (UI ของ Edge) และในแบ็กเอนด์โดยแก้ไขข้อบกพร่อง (Edge API) ดูรายละเอียดวิธีตั้งค่าการมาสก์ได้ที่การมาสก์และการซ่อนข้อมูล การปกปิดข้อมูลที่ละเอียดอ่อนเป็นส่วนหนึ่งของข้อกำหนด 3 ของ PCI - ปกป้องข้อมูลผู้ถือบัตรที่จัดเก็บไว้
การมาสก์ข้อมูลไม่ได้ป้องกันไม่ให้ข้อมูลปรากฏในไฟล์บันทึก แคช ข้อมูลวิเคราะห์ ฯลฯ หากต้องการความช่วยเหลือเกี่ยวกับการมาสก์ข้อมูลในบันทึก ให้ลองเพิ่มรูปแบบนิพจน์ทั่วไปลงในไฟล์ logback.xml โดยทั่วไปแล้ว ไม่ควรเขียนข้อมูลที่มีความละเอียดอ่อนลงในแคชหรือข้อมูลวิเคราะห์โดยไม่มีเหตุผลทางธุรกิจที่ชัดเจนและการตรวจสอบโดยทีมรักษาความปลอดภัยและทีมกฎหมายของลูกค้า
แคช L1 และ L2
การแคชพร้อมให้บริการแก่ลูกค้า PCI เพื่อใช้กับข้อมูลที่ไม่ได้อยู่ภายใต้การควบคุมดูแลเท่านั้น ไม่ควรใช้แคชสำหรับข้อมูลผู้ถือบัตร PCI (CHD) เนื่องจากไม่ได้รับการอนุมัติจากการตรวจสอบการปฏิบัติตามข้อกำหนด PCI ของ Apigee ให้เป็นตำแหน่งการจัดเก็บสำหรับ CHD ตามคำแนะนำของ PCI (ข้อกำหนดที่ 3: ปกป้องข้อมูลที่จัดเก็บไว้ของผู้ถือบัตร) ข้อมูล PCI ควรจัดเก็บไว้ในตำแหน่งที่เป็นไปตามข้อกำหนด PCI เท่านั้น การใช้แคช L1 จะใช้แคช L2 โดยอัตโนมัติด้วย แคช L1 คือ "หน่วยความจำเท่านั้น" ส่วนแคช L2 จะเขียนข้อมูลลงในดิสก์เพื่อซิงค์กับแคช L1 หลายรายการ แคช L2 ช่วยทำให้ตัวประมวลผลข้อความหลายรายการซิงค์กันภายในภูมิภาคและทั่วโลก ปัจจุบันคุณไม่สามารถเปิดใช้แคช L1 โดยไม่มีแแคช L2 อยู่เบื้องหลัง แคช L2 จะเขียนข้อมูลลงในดิสก์เพื่อให้ซิงค์กับโปรแกรมประมวลผลข้อความอื่นๆ สําหรับองค์กรของลูกค้าได้ เนื่องจากแคช L2 จะเขียนข้อมูลลงในดิสก์ ระบบจึงไม่รองรับการใช้แคชสำหรับ CHD หรือข้อมูลอื่นๆ ที่มีข้อจำกัด
ลูกค้าสามารถใช้แคชสำหรับข้อมูลที่ไม่อยู่ใน CHD และข้อมูลอื่นๆ ที่ไม่มีข้อจำกัด เราไม่ปิดใช้แคชโดยค่าเริ่มต้นสำหรับลูกค้า PCI เนื่องจากลูกค้าบางรายเรียกใช้ทั้งการเรียก API ที่เกี่ยวข้องกับ PCI และที่ไม่ใช่ PCI ผ่านองค์กรเดียว เนื่องจากความสามารถนี้ยังคงเปิดใช้อยู่สำหรับลูกค้า PCI ลูกค้าจึงมีหน้าที่รับผิดชอบในการใช้บริการอย่างเหมาะสมและฝึกผู้ใช้ของตนให้ไม่ใช้แคชเมื่อข้อมูล PCI มีแนวโน้มที่จะอยู่ในการเรียก API การตรวจสอบการปฏิบัติตามข้อกำหนด PCI ของ Apigee ไม่รองรับ CHD ที่เก็บไว้ในแคช
ดูวิธีการโดยละเอียดในการใช้แคชได้ที่การเพิ่มการแคชและการคงข้อมูล
บันทึกการตรวจสอบ
ลูกค้าสามารถตรวจสอบบันทึกการตรวจสอบของกิจกรรมการดูแลระบบทั้งหมดที่ดำเนินการภายในองค์กรของลูกค้า รวมถึงการใช้การติดตาม ดูวิธีการโดยละเอียดได้ที่นี่และที่หัวข้อการใช้เครื่องมือติดตาม (PCI ข้อกำหนดที่ 10: ติดตามและตรวจสอบการเข้าถึงทรัพยากรเครือข่ายและข้อมูลผู้ถือบัตรทั้งหมด)
ข้อกำหนดด้านรหัสผ่านที่ซับซ้อนหรือ SAML
ลูกค้าที่มีข้อกำหนดเฉพาะเกี่ยวกับรหัสผ่านควรใช้ SAML เพื่อให้เป็นไปตามข้อกำหนดของแต่ละราย โปรดดูการเปิดใช้การตรวจสอบสิทธิ์ SAML สําหรับ Edge Edge ยังให้บริการการตรวจสอบสิทธิ์แบบหลายปัจจัยด้วย (ข้อกำหนด 8 ของ PCI: กำหนดรหัสที่ไม่ซ้ำกันให้กับผู้ใช้แต่ละคนที่มีสิทธิ์เข้าถึงคอมพิวเตอร์) โปรดดูเปิดใช้การตรวจสอบสิทธิ์แบบ 2 ปัจจัยสําหรับบัญชี Apigee
การรักษาความปลอดภัยของอุปกรณ์ปลายทาง
การสแกนอุปกรณ์ปลายทาง
การสแกนและทดสอบโฮสต์เป็นสิ่งจําเป็นต่อการปฏิบัติตามข้อกําหนด PCI (ข้อกําหนด 11: ทดสอบระบบและกระบวนการรักษาความปลอดภัยอย่างสม่ำเสมอ) สำหรับ Edge Cloud ลูกค้ามีหน้าที่รับผิดชอบในการสแกนและการทดสอบปลายทาง API (บางครั้งเรียกว่า "คอมโพเนนต์รันไทม์") ใน Edge การทดสอบของลูกค้าควรครอบคลุมบริการพร็อกซี API จริงที่โฮสต์ใน Edge ซึ่งมีการส่งการเข้าชม API ไปยัง Edge ก่อนประมวลผลและส่งไปยังศูนย์ข้อมูลของลูกค้า การทดสอบทรัพยากรที่แชร์ เช่น UI ของพอร์ทัลการจัดการ ไม่ได้รับอนุมัติสำหรับลูกค้าบุคคลธรรมดา (ลูกค้าสามารถขอรายงานของบุคคลที่สามซึ่งครอบคลุมการทดสอบบริการที่แชร์ได้ภายใต้ข้อตกลงการไม่เปิดเผยข้อมูล)
ลูกค้าควรและได้รับการสนับสนุนให้ทดสอบปลายทาง API ข้อตกลงของคุณกับ Apigee ไม่ได้ห้ามการทดสอบปลายทาง API แต่เราไม่อนุญาตให้คุณทดสอบ UI การจัดการที่แชร์ หากต้องการคำชี้แจงเพิ่มเติม โปรดเปิดคำขอการสนับสนุนโดยอ้างอิงถึงการทดสอบที่คุณวางแผนไว้ โปรดแจ้งให้เราทราบล่วงหน้าเพื่อให้เราทราบถึงการเข้าชมการทดสอบ
ลูกค้าที่กำลังทดสอบปลายทางควรมองหาปัญหาเฉพาะของ API, ปัญหาที่เกี่ยวข้องกับบริการ Apigee และตรวจสอบ TLS และรายการอื่นๆ ที่กําหนดค่าได้ รายการใดก็ตามที่พบซึ่งเกี่ยวข้องกับบริการ Apigee ควรแจ้งให้ Apigee ทราบผ่านคำขอการสนับสนุน
รายการส่วนใหญ่ที่เกี่ยวข้องกับอุปกรณ์ปลายทางเป็นรายการที่ลูกค้าดำเนินการด้วยตนเองและแก้ไขได้โดยอ่านเอกสารประกอบของ Edge หากมีรายการที่ไม่ทราบวิธีแก้ไข โปรดเปิดคำขอแจ้งปัญหา
การกำหนดค่า TLS
ตามมาตรฐาน PCI คุณต้องย้ายข้อมูล SSL และ TLS เวอร์ชันแรกไปยังเวอร์ชันที่ปลอดภัย ลูกค้ามีหน้าที่รับผิดชอบในการกําหนดค่าและกำหนดปลายทาง TLS ของตนเองสําหรับพร็อกซี API ฟีเจอร์นี้เป็นฟีเจอร์บริการตนเองใน Edge ข้อกําหนดของลูกค้าเกี่ยวกับการเข้ารหัส โปรโตคอล และการเลือกอัลกอริทึมจะแตกต่างกันไปอย่างมากและเจาะจงสำหรับแต่ละ Use Case เนื่องจาก Apigee ไม่ทราบรายละเอียดการออกแบบ API และข้อมูลเพย์โหลดของลูกค้าทุกราย ลูกค้าจึงมีหน้าที่รับผิดชอบในการกำหนดการเข้ารหัสที่เหมาะสมสำหรับข้อมูลที่อยู่ระหว่างการรับส่ง ดูวิธีการโดยละเอียดเกี่ยวกับการกำหนดค่า TLS ได้ที่ TLS/SSL
พื้นที่เก็บข้อมูล
การจัดเก็บข้อมูลภายใน Edge นั้นไม่จำเป็นเพื่อให้ Edge ทำงานได้อย่างถูกต้อง อย่างไรก็ตาม มีบริการที่จัดเก็บข้อมูลใน Edge ลูกค้าสามารถเลือกใช้แคช คีย์-ค่า หรือการแมปข้อมูลวิเคราะห์สำหรับการจัดเก็บข้อมูล บริการเหล่านี้ไม่ได้รับอนุญาตให้จัดเก็บ CHD ตามการตรวจสอบ PCI ของ Apigee ตามข้อกำหนด 3 ของ PCI (ปกป้องข้อมูลที่จัดเก็บไว้ของผู้ถือบัตร) ข้อมูล PCI ควรจัดเก็บไว้ในตำแหน่งที่เป็นไปตามข้อกำหนด PCI เท่านั้น ลูกค้าสามารถใช้บริการเหล่านี้เพื่อจัดเก็บข้อมูลที่ไม่ใช่ PCI หรือข้อมูลอื่นๆ ที่ไม่มีข้อจำกัด โดยขึ้นอยู่กับข้อกำหนดด้านความปลอดภัยและข้อกำหนดทางกฎหมายของลูกค้า บริการเหล่านี้เป็นบริการแบบบริการตนเองของลูกค้า ดังนั้นลูกค้ามีหน้าที่รับผิดชอบในการกำหนดค่าบริการดังกล่าวเพื่อไม่ให้บันทึกหรือจัดเก็บ CHD เราขอแนะนำให้ผู้ดูแลระบบของลูกค้าตรวจสอบการกำหนดค่า นโยบาย และการใช้งาน เพื่อหลีกเลี่ยงการใช้บริการพื้นที่เก็บข้อมูลใน Edge ในลักษณะที่ไม่เป็นไปตามข้อกำหนดโดยไม่ตั้งใจหรือเป็นอันตราย
การเข้ารหัสข้อมูล
เราไม่เสนอเครื่องมือการเข้ารหัสข้อมูลแก่ลูกค้าเพื่อใช้งานใน Edge อย่างไรก็ตาม ลูกค้าสามารถเข้ารหัสข้อมูล PCI ของตนก่อนที่จะส่งไปยัง Edge ได้ PCI ข้อกําหนด 4: (เข้ารหัสการส่งข้อมูลผู้ถือบัตรผ่านเครือข่ายสาธารณะแบบเปิด) แนะนําให้เข้ารหัสข้อมูลผู้ถือบัตรผ่านเครือข่ายสาธารณะแบบเปิด ข้อมูลที่เข้ารหัสในเพย์โหลด (หรือเนื้อหาข้อความ) จะไม่ทําให้ Edge ทำงานไม่ได้ นโยบาย Edge บางรายการอาจโต้ตอบกับข้อมูลไม่ได้หากลูกค้าเข้ารหัสข้อมูลไว้ ตัวอย่างเช่น การเปลี่ยนรูปแบบจะดำเนินการไม่ได้หาก Edge ไม่สามารถเปลี่ยนข้อมูลได้ แต่นโยบายอื่นๆ รวมถึงนโยบายและกลุ่มที่ลูกค้าสร้างขึ้นจะใช้งานได้แม้ว่าจะมีการเข้ารหัสเพย์โหลดข้อมูลก็ตาม